BD Alaris Gateway munkaállomás sérülékenység

CH azonosító: CH-14603
Cím: BD Alaris Gateway munkaállomás sérülékenység
Angol cím: BD Alaris Gateway Workstation vulnerability

Publikálás dátuma: 2019.06.13.
Utolsó módosítás dátuma: 2019.06.14.


Leírás

A BD Alaris Gateway munkaállomás sérülékenysége vált ismertté, amelynek kihasználásával a támadó tetszőleges kódot képes futtatni a  célkeresztben álló rendszeren.



Elemzés leírás

A sérülékenység kihasználása a munkaállomáson futó webböngésző nem megfelelő hozzáférés-ellenőrzésének, illetve a korlátlan fájl feltöltési lehetőségének köszönhető. A sérülékenység lehetővé teszi tetszőleges kód engedély nélküli futtatását, az eszköz állapotának és konfigurációs adatainak megtekintését és szerkesztését, valamint képes az eszközt elérhetetlenné tenni.

Érintett verziók:

Alaris Gateway munkaállomás webböngésző felhasználói felületének sérülékeny verziói:

  • 1.0.13
  • 1.1.3 Build 10
  • 1.1.3 MR Build 11
  • 1.1.5
  • 1.1.6

Alaris Gateway munkaállomás fájlfeltöltés sérülékeny verziói:

  • 1.1.3 Build 10
  • 1.1.3 MR Build 11
  • 1.1.5
  • 1.1.6

Megoldás:

Az eszköz firmware-nek frissítése újabb verzióra.


Elemzés leírás forrása: https://ics-cert.us-cert.gov/advisories/ICSMA-19-164-01
Elemzés leírás utolsó módosítása: 2019.06.14.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
Hatás pontszáma: 6.0
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Alacsony
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

CVE-2019-10959 - NVD CVE-2019-10959
CVE-2019-10962 - NVD CVE-2019-10962
https://ics-cert.us-cert.gov/advisories/ICSMA-19-164-01
https://www.bd.com/en-us/support/product-security-and-privacy/product-security-bulletins
https://nvd.nist.gov/vuln/detail/CVE-2019-10959
https://nvd.nist.gov/vuln/detail/CVE-2019-10962